Angular 做的不多,问题可能比较简单,大家别笑话。
创建了一个 NODE 项目以后有了一个 PACKAGE.JSON, 定义了项目的 DEPENDENCY, NPM INSTALL
了之后有了 PACKAGE-LOCK.JSON. 里面是 NPM INSTALL 安装的具体版本。
那我现在把项目放到 GIT 上,别的 TEAM MEMBER 拿到 CODE, 他们第一次运行,需要保证他们使用/安装的版本和我的一样,是使用NPM INSTALL
吗?我在 STACKOVERFLOW 上看到说可以使用NPM CI
, 这个命令会检查安装的版本和 PACKAGE-LOCK 里面的版本是一致的。请问是应该使用这个命令吗?谢谢
1
SchneeHertz 2023-11-06 08:34:36 +08:00
npm install 就可以
|
2
sengle 2023-11-06 08:37:28 +08:00
是的,使用 npm ci [会用且只会用] package-lock.json 里面的固定的依赖版本进行安装,保证环境一致。( npm install 在存在 lock 文件时是优先使用 lock 中的依赖版本进行安装)
|
3
musi 2023-11-06 08:40:44 +08:00 1
不懂就问,除了 Angular 这个单词为啥其他的单词都大写
|
4
0xsui 2023-11-06 08:47:49 +08:00
npm 比较慢,建议用 pnpm ,另外,
npm 依赖版本锁定要保留 package-lock.json; pnpm 要保留 pnpm-lock.yaml |
6
Baymaxbowen 2023-11-06 09:26:16 +08:00
可以把 package 里面,依赖包的版本号前面的 ^去掉,强制锁定版本
|
7
crysislinux 2023-11-06 09:27:33 +08:00 via Android
5 楼说的对,要想完全按照 lock 文件装需要用 npm ci
|
9
zqx 2023-11-06 10:05:12 +08:00 via Android
6 楼的方法,无法锁定依赖的依赖的版本
|
10
zhhbstudio 2023-11-06 10:14:08 +08:00
npm ci 不会安装 devdependencies [开发依赖] 只会安装 dependencies [运行依赖] 。我理解还是确认好版本号,不使用 ^ ~ 等标记,锁死版本。
当然实际情况下我都直接 npm i[nstall] 。版本号也不管,实际没出过问题。 |
11
fqy12300 2023-11-06 10:17:52 +08:00
@tutou npm install package 可以同时修改 package-lock.json 和 package.json ,而不带参数的 npm install 只会修改 package-lock.json
|
12
fqy12300 2023-11-06 10:21:17 +08:00
@crysislinux npm install 不带参数,是不会升级版本的。
|
13
fqy12300 2023-11-06 10:24:03 +08:00
@zhhbstudio package-lock.json 已经帮你锁死版本了。
|
14
yzqn 2023-11-06 10:26:30 +08:00
@sengle “npm install 在存在 lock 文件时是优先使用 lock 中的依赖版本进行安装”,请问 lock 文件的作用是什么呢
|
15
IvanLi127 2023-11-06 10:51:14 +08:00 via Android
只要附带 lock 文件就行了,对方只要是开发就执行 npm i 。
|
16
zhhbstudio 2023-11-06 11:21:39 +08:00
@fqy12300 #13 我记得比如你的 package.json 中有 a@^1.1.1 ,当你安装后 lock 文件中锁定版本也是这个,当新版本 [email protected] 发布后,npm install 会安装 [email protected] 的。
我去实际试一下。 |
17
AnkhSpirit 2023-11-06 12:49:57 +08:00
npm install 时会按照你 package.json 里依赖的版本锁定符号("^" "~" ""),自动升级 package-lock.json 。如果不想自动升级,可以用 npm ci ,ci 会先删除依赖文件夹然后跳过读取 package.json ,直接安装 package-lock.json 里指定的版本
老实说 nodejs 这块确实有诟病,想固定依赖基本上都得在 package.json 锁定版本,万一有的父依赖的子依赖有安全隐患,后续这个子依赖升级修复了,但是那个父依赖没升级,你想避免隐患的话只能去 package-lock.json 改子依赖的版本,然后一改就只能用 npm ci 安装,因为用 npm i 会自动修正 |
18
AnkhSpirit 2023-11-06 12:55:11 +08:00
我之前修过一阵子依赖安全问题,经常遇到上述的情况,最后的手段就是手动在 package-lock.json 里锁定各个依赖的版本,然后只要这些父依赖没更新,这个项目就得一直用 npm ci 安装依赖
|
19
zhhbstudio 2023-11-06 14:26:48 +08:00
@fqy12300 #13 #16 好像各个版本不同,最新版本是会锁死的。
|